🔎 Nouvelles vulnérabilités et ✅ correctifs
Chaque mois, des éditeurs de logiciels publient des correctifs pour remédier à des vulnérabilités critiques, dont certaines sont activement exploitées par des cybercriminels.
L’application rapide de ces correctifs est essentielle pour réduire les risques d’attaques.
Lancement officiel de la base de vulnérabilités de l'ENISA
Le 13 mai 2025, l'Agence de cybersécurité de l'Union européenne ( ENISA ) a annoncé le lancement officiel de sa base de données de vulnérabilités, baptisée EUVD . Cette dernière avait été lancée dans une version bêta peu après le 15 avril dernier, alors que le renouvellement du financement du programme de suivi de vulnérabilités CVE par la MITRE Corportation était incertain.
Le groupe de ransomware Play exploite la faille 0-day affectant le kernel driver Windows CLFS
Le 7 mai 2025, les chercheurs de Symantec ont signalé l'exploitation d'une faille de sécurité 0-day affectant le kernel driver Windows Common Log File System ( CLFS ) par le groupe de ransomware Play . Référencée CVE-2025-29824 et corrigée dans le cadre d'une Patch Tuesday du mois d'avril, cette vulnérabilité aurait permis aux opérateurs du ransomware d'élever leurs privilèges sur des systèmes précédemment compromis
Exploitation d'une vulnérabilité affectant Confluence pour distribuer le ransomware ELPACO-team
Le 19 mai 2025, les chercheurs de The DFIR Report ont révélé l'exploitation de la vulnérabilité référencée CVE-2023-22527 affectant Confluence pour distribuer le ransomware ELPACO-team Ransomware . La faille de sécurité corrigée en janvier 2024 et bénéficiant de nombreux PoC disponibles publiquement permettait à un attaquant distant et non authentifié d'exécuter du code arbitraire
⚠️ Codes d’exploitation publiés
Les codes d’exploitation publiés permettent aux attaquants de tirer parti des vulnérabilités connues. Leur divulgation accroît le risque d’attaques opportunistes et impose une application immédiate des correctifs disponibles.
Divulgation d'informations via une vulnérabilité affectant le protocole NTLM de Microsoft
Un code d'exploitation tirant parti de la vulnérabilité CVE-2025-24054 et affectant le protocole NTLM a été publié. L'exploitation de cette faille permettait à un attaquant de manipuler des données.
Déni de service via une vulnérabilité au sein d'Apache ActiveMQ
Un code d'exploitation tirant parti de la vulnérabilité CVE-2025-27533, affectant Apache ActiveMQ a été publié. L'exploitation de cette faille permet de provoquer un déni de service. En utilisant ce programme, un attaquant était en mesure d’exploiter le service OpenWire sur le port 61616 d’un serveur Apache ActiveMQ pour envoyer des paquets malveillants de très grande taille.
Prise de contrôle du système via une vulnérabilité au sein de Wazuh
Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2025-24016 et affectant Wazuh a été publié. L'exploitation de cette faille permet à un attaquant distant de prendre le contrôle du système. Ce code d'exploitation se présente sous la forme d'un template Nuclei écrit en YAML .
Manipulation de données et divulgation d'informations via une vulnérabilité au sein de Grafana
Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2025-4123 et affectant Grafana a été publié. L'exploitation de cette faille permet de rediriger un utilisateur vers un site externe malveillant, d'injecter du JavaScript arbitraire dans le navigateur de la victime, ou de forcer Grafana à interagir avec des services internes de l’organisation ciblée. Ce code d'exploitation se présente sous la forme de requêtes HTTP décrites avec le langage YAML.
💀 Etat de la menace
Viginum publie une analyse du mode opératoire informationnel russe Storm-1516
Le 6 mai 2025, Viginum a publié une analyse du mode opératoire informationnel russe Storm-1516 . Observé depuis le mois d'août 2023 par le SGDSN , ce cluster malveillant serait responsable de plusieurs dizaines d’opérations de désinformation via la diffusion à grande échelle de narratifs pro-russes ciblant une audience francophone et cherchant à affecter le
débat public numérique européen en marge du conflit armé en Ukraine
Europol et Microsoft ont annoncé le démantèlement des infrastructures du
Malware-as-a-Service Lumma
Le 21 mai 2025, Europol et Microsoft ont annoncé le démantèlement des infrastructures du Malware-as-a-Service Lumma Stealer (aka LummaC2 ). Commercialisé sur diverses plateformes criminelles depuis le mois d'août 2022, cet outil clé en main proposait diverses fonctionnalités facilitant le vol d'informations sensibles sur les instances infectées et pouvait être utilisé à diverses finalités, incluant le détournement d'actifs en cryptomonnaies et la distribution de ransomware
Pour plus de réactivité, nous invitons à souscrire à notre offre CSIRT (veille + réponse sur incident) qui vous permettra de : · Recevoir quotidiennement des bulletins d’alertes contextualisés aux technologies présentes dans vos Systèmes d’Information, · Recevoir régulièrement des informations de qualité sur la menace ciblant votre secteur d’activité. En souscrivant à notre offre CSIRT, vous bénéficiez d’une veille structurée et industrialisée s’appuyant sur le réseau INTER-CERT France comprenant plus de 100 CERT métropolitain. De plus, Nos service vous permet également d’effectuer des levés de doute pour avoir la certitude que votre SI n’est pas vulnérable ou déjà compromis. Si vous êtes intéressés par ce service, contactez-nous : contact[at]terama.pf |
